Защита HTTP-сервера Apache
5.5. Защита HTTP-сервера Apache
HTTP-сервер Apache — одна из самых стабильных и защищённых служб, входящих в состав Red Hat Enterprise Linux. Для защиты Apache придумано несчётное количество параметров и приёмов, слишком много, чтобы подробно разбирать их здесь.
Настраивая HTTP-сервер Apache, обязательно ознакомьтесь с прилагаемой к нему документацией. В том числе познакомьтесь с главой HTTP-сервер Apache Справочного руководства по Red Hat Enterprise Linux, главой Настройка HTTP-сервера Apache Руководства по системному администрированию Red Hat Enterprise Linux, и документацией к Stronghold, доступной по адресу http://www.redhat.com/docs/manuals/stronghold/.
Ниже перечислены параметры конфигурации, использовать которые нужно очень осторожно.
5.5.1. FollowSymLinks
Это указание по умолчанию включено, поэтому будьте очень внимательны, создавая символические ссылки в корневом каталоге документов веб-сервера. Например, не стоит создавать символические ссылки на /.
5.5.2. Указание Indexes
Это указание по умолчанию включено, но это может быть нежелательно. Чтобы предотвратить просмотр посетителями списков файлов на сервере, уберите это указание.
5.5.3. Указание UserDir
Указание UserDir по умолчанию отключено, так как с его помощью можно определить существующие в системе учётные записи. Чтобы разрешить на сервере просмотр каталогов пользователей, определите следующие указания:
UserDir enabled UserDir disabled root |
Эти указания разрешают просмотр каталогов всех пользователей, за исключением /root/. Чтобы добавить пользователей в список запрещённых учётных записей, перечислите их через пробел в строке UserDir disabled.
5.5.4. Не удаляйте указание IncludesNoExec
По умолчанию модуль включений на стороне сервера (server-side includes) не может выполнять команды. Настоятельно рекомендуется не изменять этот параметр, если у вас нет на то веских причин, так как это может позволить взломщику выполнять команды в вашей системе.
5.5.5. Ограничьте доступ к каталогам с исполняемыми файлами
Убедитесь в том, что во всех каталогах, содержащих сценарии или CGI, разрешение на запись имеет только root. Это можно сделать, выполнив следующие команды:
chown root <directory_name> chmod 755 <directory_name> |
А также обязательно проверяйте, правильно ли работают сценарии в вашей системе, прежде чем запустить их в работу.